粗大浓稠硕大噗嗤噗嗤h,精品人妻码一区二区三区,国产av无码专区亚洲精品,日韩a片无码毛片免费看小说

  SYN cookie的原理

  YSN COOKIE是linux內(nèi)核的一部分，如果在沒(méi)進(jìn)行配置時(shí)，默認(rèn)狀態(tài)為默認(rèn)的stat是no，是在linux系統(tǒng)的執(zhí)行過(guò)程中能保護(hù)linux系統(tǒng)。

  SYN cookie就是用一個(gè)cookie來(lái)響應(yīng)TCP SYN請(qǐng)求的TCP實(shí)現(xiàn)，在正常的TCP實(shí)現(xiàn)中，當(dāng)S接收到一個(gè)SYN數(shù)據(jù)包，他返回一個(gè)SYN-ACK包來(lái)應(yīng)答，然后進(jìn)入TCP-SYN-RECV(半開(kāi)放連接)狀態(tài)來(lái)等待最后返回的ACK包。S用一個(gè)數(shù)據(jù)空間來(lái)描述所有未決的連接，然而這個(gè)數(shù)據(jù)空間的大小是有限的，所以攻擊者將塞滿(mǎn)這個(gè)空間。

  在TCP SYN COOKIE的執(zhí)行過(guò)程中，當(dāng)S接收到一個(gè)SYN包的時(shí)候，他返回一個(gè)SYN-ACK包，這個(gè)數(shù)據(jù)包的ACK序列號(hào)是經(jīng)過(guò)加密的，也就是說(shuō)，它由源地址，端口源次序，目標(biāo)地址，目標(biāo)端口和一個(gè)加密種子計(jì)算得出。然后S釋放所有的狀態(tài)。如果一個(gè)ACK包從C返回，S將重新計(jì)算它來(lái)判斷它是不是上個(gè)SYN-ACK的返回包。如果這樣，S就可以直接進(jìn)入TCP連接狀態(tài)并打開(kāi)連接。這樣，S就可以避免守侯半開(kāi)放連接了。

  SYN COOKIE 防火墻

  SYN COOKIE 防火墻是SYN cookie的一個(gè)擴(kuò)展，SYN cookie是建立在TCP堆棧上的，他為linux操作系統(tǒng)提供保護(hù)。

  下面是SYN cookie防火墻的原理

  client firewall server

  ------ ---------- ------

  1. SYN----------- - - - - - - - - - ->

  2. <------------SYN-ACK(cookie)

  3. ACK----------- - - - - - - - - - ->

  4. - - - - - - -SYN--------------->

  5. <- - - - - - - - - ------------SYN-ACK

  6. - - - - - - -ACK--------------->

  7. -----------> relay the ------->

  <----------- connection <-------

  1:一個(gè)SYN包從C發(fā)送到S

  2：防火墻在這里扮演了S的角色來(lái)回應(yīng)一個(gè)帶SYN cookie的SYN-ACK包給C

  3：C發(fā)送ACK包，接著防火墻和C的連接就建立了。

  4：防火墻這個(gè)時(shí)候扮演C的角色發(fā)送一個(gè)SYN給S

  5：S返回一個(gè)SYN給C

  6：防火墻扮演C發(fā)送一個(gè)ACK確認(rèn)包給S，這個(gè)時(shí)候防火墻和S的連接也就建立了

  7：防火墻轉(zhuǎn)發(fā)C和S間的數(shù)據(jù)

  如果系統(tǒng)遭受SYN Flood，那么第三步就不會(huì)有，而且無(wú)論在防火墻還是S都不會(huì)收到相應(yīng)在第一步的SYN包，所以我們就擊退了這次SYN洪水攻擊。

  三三在線(xiàn)http://www.33ol.com/，服務(wù)器租用 托管 高防服務(wù)器租用，機(jī)柜大帶寬租用，我司有：四川德陽(yáng)機(jī)房，廣東佛山機(jī)房，大朗機(jī)房，松山湖機(jī)房，香港機(jī)房CN2，杭州BGP高防，新加坡機(jī)房，菲律賓，韓國(guó)，日本 美國(guó)，高防 無(wú)防服務(wù)器。企點(diǎn)Q：2852361322電話(huà)：13924367540